三、各單位應指定專人辦理單位內之下列事項： （一）辦理當事人依本法第十條及第十一條第一項至第四項所定請求 事項之考核。 （二）辦理本法第十一條第五項及第十二條所定通知事項之考核。 （三）本法第十七條所定公開或供公眾查閱。 （四）本法第十八條所定個人資料檔案安全維護。 （五）個人資料保護法令之諮詢。 （六）個人資料保護事項之協調聯繫。 （七）單位內個人資料損害預防及危機處理應變之通報。 （八）個人資料保護之自行查核及本處個人資料保護政策之執行。 （九）其他單位內個人資料保護管理之規劃及執行。

三十三、各單位應視業務性質保存下列紀錄或證據： （一）當事人書面同意。 （二）告知或通知當事人。 （三）當事人或法定代理人依本法第十條或第十一條第一項至第 四項規定主張權利。 （四）蒐集、處理、利用個人資料所生之軌跡紀錄。 （五）依第十點第一項規定作成之紀錄。 （六）本處或各單位之檢查或稽核。 （七）依第二十九點規定作成之監督紀錄。 （八）個人資料正確性有爭議。 （九）個資事件。 依前項規定保存之紀錄或證據，除其他法令另有規定或契約另有 約定外，應至少保存五年。

三十七、個資事件發生時，各單位應依指示及視事件性質，儘速採取包含 下列內容之應變措施： （一）中斷入侵或洩漏途徑。 （二）緊急儲存尚未被破壞資料。 （三）啟動備援程序或替代方案。 （四）事件原因初步分析。 （五）評估受侵害個人資料類別及數量。 （六）檢視防護及監測設施功能。 （七）記錄事件經過。 （八）行政內部調查完成前保存相關證據。 （九）解決或修復方案。 （十）通知保有相同資料組室或其他單位。 （十一）洽商專業人員協助或進駐處理。 （十二）涉及刑事責任者，移請檢警鑑識或調查。 （十三）發布新聞稿、網站公告。

三十八、個資事件發生後，本處應依本法第十二條通知當事人，內容包括 侵害事實及因應措施說明、建議當事人處理事項、提供查詢及協 助管道、賠（補）償當事人處理事務相關費用等補救措施。 前項通知，指以言詞、書面、電話、簡訊、電子郵件、傳真、電 子文件或其他足以使當事人知悉或可得知悉之方式為之。

三十九、個資事件發生後，各單位應儘速完成通報作業。通報對象包括處 長、副處長、主任秘書、單位主管及企劃室；通報內容至少應包 括通報人身分、資料外洩或侵害方式、時間、地點、初估外洩或 侵害個人資料類別及數量、避免損害擴大處置等資訊；通報方式 以電話或簡訊為主，電子郵件為輔。 重大資通安全事件通報及應變作業，應依資通安全事件通報及應 變辦法、臺北市政府資通安全事件通報及應變管理程序辦理。